Sedem vyvolených dostalo kľúče, ktorými možno nahodiť internet.
Organizácia ICANN, ktorá dohliada na najvyššej doménové priestory, počíta is eventualitou, že bude potreba DNSSEC systém obnoviť z núdzové zálohy, a dáva si záležať na bezpečnostných opatreniach.
Sedem dôveryhodných v bunkri?
Stretnutie v tajnom americkom bunkri. Prehliadka ozbrojenými strážnikmi. Identifikácia podľa očnej dúhovky. Možno to znie ako zo špionážneho filmu, ale presne tieto spojenia sa v spojení so spustením DNSSEC objavila napríklad v serióznych britských denníkoch.
Skutočnosť je podľa Ondreja Surého, ktorý bol priamo na mieste, o poznanie triezvejší. Obe sídla ICANN skrátka dodržiavajú štandardné bezpečnostné predpisy, a tie platili aj pri slávnostných ceremóniách podpisovanie koreňovej zóny.
Celý systém DNSSEC by mal fungovať úplne automaticky, a bežní používatelia si jeho funkcie pravdepodobne ani nevšimnú. Ak by ale došlo k poškodeniu (napríklad v dôsledku živelnej katastrofy či útoku), je možné hlavný kľúč DNSSEC obnoviť.
Sedem “dôveryhodných zástupcov internetovej komunity” (Trusted Community Representatives, presnejšie Recovery Key Share Holders) dostalo čipovej karty, na ktorých sú uložené fragmenty, pomocou ktorých je možné rozšifrovať zálohu KSK kľúče uloženú u ICANN.
Ak sa všetci (alebo aspoň päť zo siedmich) stretnú v USA, môžu spoločne rekonštruovať pôvodný hlavný kľúč (DNSSEC root zone key) a “reštartovať” tak zabezpečenia, či skôr obnoviť normálnu prevádzku. Je tak zabezpečené, aby žiadny jednotlivec ani organizácia nemohla túto obnovu vykonať na vlastnú päsť. Okrem toho nemožno vylúčiť ani rovinu symbolickú – ponúka sa porovnanie s českými korunovačnými klenotmi, ku ktorým má tiež kľúče sedem slovenských ústavných činiteľov.
Kto drží “kľúča k internetu”?
Dan Kaminsky (USA), Jiankang Yao (Čína), Paul Kane (Veľká Británia), Moussa Guebre (Burkina Faso), Bevil Wooding (Trinidad a Tobago), Ondřej Surý (Česká republika), Norm Ritchie (Kanada)
Českú republiku, respektíve strednú Európu, zastupuje Ondřej Surý, vedúci Laboratórií CZ.NIC, združenia spravujúceho doménu. Sk. CZ.NIC presadzuje štandard DNSSEC už niekoľko rokov, a venuje sa mu pravidelne na svojom blogu.
Standard DNSSEC je teda od podpísania tzv koreňovej zóny pripravený na nasadenie do ostrej prevádzky. Domény, ktoré budú s jeho pomocou zabezpečené, môžu dať svojim návštevníkom istotu, že si prezerajú skutočne požadovaný obsah, a nie obsah podstrčený nejakým podvodným DNS serverom (napríklad falošnými stránkami banky).
Podľa odhadov, ktoré cituje BBC, je až 8% internetového prevádzky nejakým spôsobom podvodného, a práve nový systém by mal tieto nešváry (DNS únosy, DNS poisoning, phishing) postupne redukovať.
Prečo tak zložito?
Samotná procedúra podpisovanie trvala niečo okolo šiestich hodín. Prečo nestačí skrátka vygenerovať kľúč a niekam ho schovať? Nie všetkým je totiž príjemné, že by všetko mala mať pod palcom inštitúcie z USA. Preto sa celý proces čo možno najviac otvoril a pozvaní boli zástupcovia internetovej komunity z celého sveta.
Aj vďaka nim mohol vzniknúť silný podpis “koreňovej zóny”, a pre prípadného útočníka je tak prakticky nemožné podvrhnout alebo napodobniť DNSSEC podpis, teda vydávať sa za cudzie doménu. Keby ale niekto disponoval celým kľúčom, mohol by teoreticky napodobniť podpis domény. Preto je dôležité, aby neboli kľúče úplne dostupné jednotlivcom, ale pre každú manipuláciu s nimi (aj “len” obnovu zálohy) bolo potrebných minimálne päť zo siedmich spomínaných držiteľov záložných kariet.
Čiech s kľúčom k internetu: net bude bezpečnejšie
Opýtali sme sa Ondreja Surého, vedúceho Laboratórií CZ.NIC, jedného z 21 TCR (“dôveryhodných zástupcov komunity”) a držiteľa jednej zo siedmich záložných kariet, na podrobnosti týkajúce DNSSEC a súvisiacich opatrení.
Koľko je celkom tých “dôveryhodných osôb”?
Celkový počet TCR (Trusted Community Representatives) je 21. Existuje 7 Crypto Officers pre každú lokalitu (Culpeper, VA a El Segundo, CA), ktorí majú kľúče k bezpečnostnej schránke v trezore.
Čo je to za kľúče na oných kartách, ktoré drží TCR (Vy a šesť ďalších), ak čomu môžu byť tieto kľúče použité?
Držitelia kariet sa volajú RKSH (Recovery Key Share Holder). Na kartách je časť kľúča symetrické šifry, ktorá je používaná na zakódovanie dát vnútri HSM modulu (HSM – Hardware Security Module). Tieto kľúče (minimálne 5 kariet zo 7) môžu byť použité spoločne so zálohou KSK kľúča pre obnovenie prevádzky v ďalšom nezávislom HSM modulu, a to v prípade, že by došlo k zničeniu všetkých štyroch ďalších HSM (HSM, ktorý používa ICANN) v oboch lokalitách ICANN.
V akom prípade by tieto karty mohli byť použité?
V prípade, že by došlo k znefunkčnění všetkých aktívnych HSM modulov (celkom 4).
A k čomu by slúžili?
Spoločne so zálohou KSK kľúča by boli použité na obnovenie regulérneho prevádzky podpise koreňovej zóny.
Prečo bolo zvolené takéto riešenie, ktoré trochu pripomína Pána prsteňov?
Tento postup bol zvolený preto, aby sa zvýšila dôvera v celý proces podpísania koreňovej zóny. Tým, že boli do procesu podpisu koreňovej zóny prizvaní zástupcovia internetovej komunity, bola zabezpečená vyššia kontrola celého procesu podpisu koreňovej zóny.
Čo je tzv pravý KSK kľúč a aký je dôvod jeho existencie?
“Pravý KSK kľúč” je možno trochu zavádzajúce označenie, ktoré bolo zvolené pre odlíšenie od KSK kľúča, ktorý bol používaný v testovacej prevádzke. KSK kľúč je vstupný bod do hierarchie dôvery, ktorú DNSSEC vytvára v DNS stromu. Jeho výmena v prípade kompromitácia je veľmi náročná a preto je potrebné najvyšší stupeň ochrany, ktorý je na úrovni ochrany koreňových certifikátov certifikačných autorít.
Aké sú hlavné zmeny pre bežného užívateľa?
Podpis koreňovej zóny nepredstavuje pre koncového užívateľa žiadnu zmenu. Tento krok má zásadný význam pre bezpečnosť systému doménových mien (DNS), ktorý je takou chrbticou celého internetu.
